IP Sec OpenSwan keine Übertragung nach 6 Minuten (Tunnel aber up)
-
Hallo in de PfSense Runde,
ich hoffe mir kann jemand helfen bei meinem Problem:
Wir haben einen Kunden, der uns die Serverseite des VPN bereitstellt. Er nutzt die PfSense hinter einer Firmenfirewall.
Wir nutzen einen Rasperry Pi mit Openswan als Client
Die Verbindung kann erfolgreich hergestellt werden. Ich kann danach ein Gerät hinter der PfSense anpingen.
Nach 5 Minuten ist dies nicht mehr möglich. Es kommt keine Antwort.Wenn ich sudo /etc/init.d/ipsec status aufrufe, erhalte ich aber die Meldung "1Tunnel up"
Die Routen, die mit dem VPN Start gesetzt werden sind auch nach wie vor da.Ich vermute ein Lifetimeproblem.
So sieht die Konfiguration in etwa aus (Ips habe ich entfernt ;))
conn test ikelifetime=1440m authby=secret aggrmode=yes keyexchange=ike auth=esp ike=3des-sha1-modp1024 phase2alg=3des-sha1 left= <left>leftid= <leftid>leftsubnet= <leftsubnet>right= <right>rightsubnet= <rightsubnet>rightsourceip= <rightsourceip>da wir eine virtuelle ip nutzen rightid= <rightid>auto=start compress=no</rightid></rightsourceip></rightsubnet></right></leftsubnet></leftid></left>
Kann mir jemand sagen wo ich am Besten ansetze?
EDIT: Ich habe noch einmal genau nachgefragt
Lifetime Phase 1 86400s
Lifetime Phase 2 3600s -> also genau die Zeit wie lang meine Verbindung stehtIch denke es liegt eher an der OpenSwan Konfiguration. Kennt sich eventuell jemand mit dieser Konstellation aus? Die Lifetime Phase 2 muss ich dem Client ja eigentlich nicht mitgeben?
Danke und Grüße
-
Ich denke es liegt eher an der OpenSwan Konfiguration. Kennt sich eventuell jemand mit dieser Konstellation aus? Die Lifetime Phase 2 muss ich dem Client ja eigentlich nicht mitgeben?
Aber natürlich musst du die Phase 2 auch auf dem Client konfigurieren. Das ist ja kein OpenVPN Tunnel mit dediziertem Server/Client Anteil. IPSec verhandelt jede Phase einzeln, dazu müssen aber trotzdem beide konfiguriert sein. Wenn die Phase 2 bspw. nicht übereinstimmt, kann es genau zu solchen seltsamen Phänomenen kommen. In dem REst deiner Konfiguration oben kann ich aber weder die komplette P1 noch die Werte der P2 ersehen. Lediglich die Crypto Werte sind eingestellt und die IKE Lifetime. Da fehlt aber noch der Rest.